XXXXCIS信息安全管理基礎(chǔ)與管理體系-v

信息安全管理基礎(chǔ)與管理體系培訓(xùn)機(jī)構(gòu)名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內(nèi)容2信息安全管理基礎(chǔ)知識(shí)體知識(shí)域信息安全管理方法與實(shí)施知識(shí)子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理實(shí)施信息安全管理概述知識(shí)域：信息安全管理概述知識(shí)子域：信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的對(duì)象理解以建立體系的方式實(shí)施信息安全管理的必要性理解體系、管理體系、信息安全管理體系的概念3信息安全管理的定義信息信息安全管理信息安全管理4管理、信息安全管理管理 指揮和控制組織的協(xié)調(diào)的活動(dòng)。

（--

ISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語）

管理者為了達(dá)到特定目的而對(duì)管理對(duì)象進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。

信息安全管理 管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù)）而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。5信息安全管理的對(duì)象6信息安全管理的對(duì)象：包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。

規(guī)則

人員目標(biāo)組織以建立體系的方式實(shí)施信息安全管理的必要性7信息安全的攻擊和防護(hù)嚴(yán)重不對(duì)稱，相對(duì)來說攻擊成功很容易，防護(hù)成功卻極為困難信息安全水平的高低遵循木桶原理：信息安全水平有多高，取決于防護(hù)最薄弱的環(huán)節(jié)信息安全水平被侵害的資產(chǎn)防護(hù)措施信息安全管理體系的定義體系管理體系信息安全管理體系8信息安全管理體系的定義體系：相互關(guān)聯(lián)和相互作用的一組要素。

（--

ISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語）管理體系： 建立方針和目標(biāo)并達(dá)到目標(biāo)的體系。 （--

ISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語）

為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架。

（--

ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語）信息安全管理體系(ISMS：Information

Security

Management

System)：

整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)的方法，來建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。

（--

ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語）

建立信息安全方針和目標(biāo)并達(dá)到這些目標(biāo)的體系。 為達(dá)到組織信息安全目標(biāo)的策略、程序、指南和相關(guān)資源的框架。910信息安全管理體系，包括的要素有：信息安全組織架構(gòu)信息安全方針信息安全規(guī)劃活動(dòng)信息安全職責(zé)信息安全相關(guān)的實(shí)踐、規(guī)程、過程和資源......這些要素既相互關(guān)聯(lián)又相互作用信息安全管理體系的構(gòu)成要素信息安全管管理體系的的特點(diǎn)信息安全管管理體系要求組織通過確定信息安全管管理體系范范圍，制定信息安全方方針，明確管理職責(zé)，，以風(fēng)險(xiǎn)評(píng)評(píng)估為基礎(chǔ)礎(chǔ)選擇控制制目標(biāo)和措措施等一系系列活動(dòng)來建立信息安全管管理體系體系的建立立基于系統(tǒng)、全面面、科學(xué)的的信息安全全風(fēng)險(xiǎn)評(píng)估估，體現(xiàn)以預(yù)防控制制為主的思思想，強(qiáng)調(diào)遵守國家有有關(guān)信息安安全的法律律、法規(guī)及及其他合同同方面的要要求強(qiáng)調(diào)全過程和動(dòng)動(dòng)態(tài)控制，，本著控制費(fèi)用與與風(fēng)險(xiǎn)平衡衡的原則合合理選擇安安全控制方方式；強(qiáng)調(diào)保護(hù)組織所所擁有的關(guān)關(guān)鍵性信息息資產(chǎn)，而而不是全部部信息資產(chǎn)產(chǎn)，確保信息的保密密性、完整整性和可用用性，保持組織的競爭爭優(yōu)勢(shì)和業(yè)業(yè)務(wù)的持續(xù)續(xù)性1112狹義的信息安全管管理體系：指按照ISO27001標(biāo)準(zhǔn)定義的的ISMS廣義的信息息安全管理理體系：泛指任何一一種有關(guān)信信息安全的的管理體系系狹義和廣義義的信息安全全管理體系系知識(shí)域：信信息安全管管理概述知識(shí)子域：：信息安安全管理作作用理解信息安安全管理的的重要作用用理解信息安安全管理體體系的作用用理解實(shí)施信信息安全管管理的關(guān)鍵鍵成功因素素13信息安全管管理的作用用14（一）信息安全管管理是組織織整體管理理的重要、、固有組成成部分，是是組織實(shí)現(xiàn)現(xiàn)其業(yè)務(wù)目目標(biāo)的重要要保障15信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效效利用是人人為的管理理過程信息安全管管理的作用用應(yīng)對(duì)風(fēng)險(xiǎn)需需要人為的的管理過程程信息安全管管理的作用用如今，信息安全問問題已經(jīng)成成為組織業(yè)業(yè)務(wù)正常運(yùn)運(yùn)營和持續(xù)續(xù)發(fā)展的最最大威脅信息安全問問題本質(zhì)上上是人的問問題，單憑憑技術(shù)是無無法實(shí)現(xiàn)從從“最大威威脅”到““最可靠防防線”轉(zhuǎn)變變的實(shí)現(xiàn)信息安安全是一個(gè)個(gè)多層面、、多因素的的過程，也取決于制制定信息安安全方針策策略標(biāo)準(zhǔn)規(guī)規(guī)范、建立立有效的監(jiān)監(jiān)督審計(jì)機(jī)機(jī)制等多方方面非技術(shù)術(shù)性努力如果組織想想當(dāng)然地制制定一些控控制措施和和引入某些些技術(shù)產(chǎn)品品，難免存存在掛一漏漏萬、顧此此失彼的問問題，使信信息安全這這只“木桶桶”出現(xiàn)若若干“短板板”，從而而無法提高高信息安全全水平16信息安全管管理的作用用信息安全管管理，是組組織完整的的管理體系系中一個(gè)重重要的環(huán)節(jié)節(jié)，它構(gòu)成成了信息安安全具有能動(dòng)性性的部分理解并重視視管理對(duì)于于信息安全全的關(guān)鍵作作用，制定定適宜的、、易于理解解、方便操操作的安全全策略對(duì)實(shí)實(shí)現(xiàn)信息安安全目標(biāo)、、進(jìn)而實(shí)現(xiàn)現(xiàn)業(yè)務(wù)目標(biāo)標(biāo)至關(guān)重要要組織建立一一個(gè)管理框框架，讓好好的安全策策略在這個(gè)個(gè)框架內(nèi)實(shí)實(shí)施，并不不斷得到修修正，才可可能為業(yè)務(wù)務(wù)的正常持持續(xù)運(yùn)作提提供可靠的的信息安全全保障17信息安全管管理的作用用18（二）信息安全管管理是信息息安全技術(shù)術(shù)的融合劑劑，保障各各項(xiàng)技術(shù)措措施能夠發(fā)發(fā)揮作用信息安全管理理的作用19如果你把鑰匙匙落在鎖眼上上會(huì)怎樣？技術(shù)措施需要要配合正確的的使用才能發(fā)發(fā)揮作用保險(xiǎn)柜就一定定安全嗎？20WO!3G精心設(shè)計(jì)的網(wǎng)網(wǎng)絡(luò)防御體系系，因違規(guī)外外連形同虛設(shè)設(shè)防火墻能解決決這樣的問題題嗎？信息安全管理理的作用解決信息安全全問題，成敗敗通常取決于于兩個(gè)因素，，一個(gè)是技術(shù)術(shù)，另一個(gè)是是管理安全技術(shù)是信信息安全控制制的重要手段段，但光有安安全技術(shù)還不不行，要讓安安全技術(shù)發(fā)揮揮應(yīng)有的作用用，必然要有有適當(dāng)?shù)墓芾砝沓绦颍駝t則，安全技術(shù)術(shù)只能趨于僵僵化和失敗說安全技術(shù)是是信息安全的的構(gòu)筑材料，，信息安全管管理就是粘合合劑和催化劑劑技術(shù)和產(chǎn)品是是基礎(chǔ)，管理理才是關(guān)鍵產(chǎn)品和技術(shù)，，要通過管理理的組織職能能才能發(fā)揮最最佳作用信息安全管理理的作用21技術(shù)不高但管管理良好的系系統(tǒng)遠(yuǎn)比技術(shù)術(shù)高超但管理理混亂的系統(tǒng)統(tǒng)安全只有將有效的的安全管理從從始至終貫徹徹落實(shí)于安全全建設(shè)的方方方面面，信息息安全的長期期性和穩(wěn)定性性才能有所保保證根本上說，信信息安全是個(gè)個(gè)管理過程，，而不是技術(shù)術(shù)過程信息安全管理理的作用3分技術(shù)7分管理？人們常說，三三分技術(shù)，七七分管理，可可見管理對(duì)信信息安全的重重要性22信息安全“技技管并重”的的原則對(duì)于信息安全全，到底是技技術(shù)更重要，，還是管理更更重要？強(qiáng)調(diào)信息安全全管理，并不不是要削弱信信息安全技術(shù)術(shù)的作用，開開展信息安全全管理要處理理好管理和技技術(shù)的關(guān)系技管并重。“堅(jiān)持管理與與技術(shù)并重””是我國加強(qiáng)信息安全全保障工作的的主要原則之之一23信息安全管理理的作用24（三）信息安全管理理能預(yù)防、阻阻止或減少信信息安全事件件的發(fā)生信息安全管理理的作用統(tǒng)計(jì)結(jié)果顯示示，在所有信信息安全事故故中，只有20%~30%是由于黑客入入侵或其他外外部原因造成成的，70%~80%是由于內(nèi)部員員工的疏忽或或有意泄密造造成的統(tǒng)計(jì)結(jié)果表明明，現(xiàn)實(shí)世界里大大多數(shù)安全事事件的發(fā)生和和安全隱患的的存在，與其其說是技術(shù)原原因，不如說說是管理不善善造成的因此，防止發(fā)發(fā)生信息安全全事件不應(yīng)僅僅從技術(shù)著手手，同時(shí)更應(yīng)應(yīng)加強(qiáng)信息安安全管理25安全不是產(chǎn)品的簡單堆堆積，也不是一次性的靜態(tài)態(tài)過程，它是人員、技術(shù)、、操作三者緊緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)進(jìn)、循環(huán)發(fā)展展的動(dòng)態(tài)過程。對(duì)信息安全的的正確理解26信息安全管理理體系的作用用對(duì)內(nèi)：能夠保護(hù)關(guān)鍵鍵信息資產(chǎn)和和知識(shí)產(chǎn)權(quán)，，維持競爭優(yōu)優(yōu)勢(shì)在系統(tǒng)受侵襲襲時(shí)，確保業(yè)業(yè)務(wù)持續(xù)開展展并將損失降降到最低程度度建立起信息安全審計(jì)計(jì)框架，實(shí)施施監(jiān)督檢查建立起文檔化的信息息安全管理規(guī)規(guī)范，實(shí)現(xiàn)有“法”可依依，有章可循循，有據(jù)可查查強(qiáng)化員工的信信息安全意識(shí)識(shí)，建立良好的安安全作業(yè)習(xí)慣慣，培育組織的信息安安全企業(yè)文化化按照風(fēng)險(xiǎn)管理理的思想建立立起自我持續(xù)改進(jìn)進(jìn)和發(fā)展的信信息安全管理理機(jī)制，用最低的成成本，達(dá)到可可接受的信息息安全水平，，從根本上保保證業(yè)務(wù)的持持續(xù)性27信息安全管理理體系的作用用對(duì)外：能夠使各利益相關(guān)方方對(duì)組織充滿信信心能夠幫助界定定外包時(shí)雙方方的信息安全全責(zé)任可以使組織更更好地滿足客客戶或其他組組織的審計(jì)要要求可以使組織更更好地符合法法律法規(guī)的要要求若通過了ISO27001認(rèn)證，能夠提高組織的公公信度可以明確要求求供應(yīng)商提高高信息安全水水平，保證數(shù)數(shù)據(jù)交換中的的信息安全28實(shí)施信息安全全管理的關(guān)鍵鍵成功因素(CSF)組織的信息安安全方針和活活動(dòng)能夠反映映組織的業(yè)務(wù)務(wù)目標(biāo)組織實(shí)施信息息安全的方法法和框架與組組織的文化相相一致管理者能夠給給予信息安全全實(shí)質(zhì)性的、、可見的支持持和承諾管理者對(duì)信息息安全需求、、信息安全風(fēng)風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)評(píng)估及風(fēng)險(xiǎn)管管理有深入理理解向全員和其他相關(guān)方方提供有效的的信息安全宣宣傳以提升信信息安全意識(shí)識(shí)向全員和其他相關(guān)方方分發(fā)并宣貫貫信息安全方方針、策略和和標(biāo)準(zhǔn)管理者為信息息安全建設(shè)提提供足夠的資資金向全員提供適適當(dāng)?shù)男畔舶踩嘤?xùn)和教教育建立有效的信信息安全事件件管理過程建立有效的信信息安全測量量體系29知識(shí)域：信息息安全管理方方法與實(shí)施知識(shí)子域：信信息安全管管理方法理解風(fēng)險(xiǎn)管理理是信息安全全管理的基本本方法，理解解風(fēng)險(xiǎn)評(píng)估是是信息安全管管理的基礎(chǔ)，，風(fēng)險(xiǎn)處理是信息安全管管理的核心，，理解控制措措施是管理風(fēng)風(fēng)險(xiǎn)的具體手手段理解過程方法法是信息安全全管理的基本本方法，理解解過程和過程程方法的含義義，理解PDCA模型30風(fēng)險(xiǎn)評(píng)估是信信息安全管理理的基礎(chǔ)風(fēng)險(xiǎn)評(píng)估主要要對(duì)ISMS范圍內(nèi)的信息息資產(chǎn)進(jìn)行鑒鑒定和估價(jià)，，然后對(duì)信息息資產(chǎn)面對(duì)的的各種威脅和和脆弱性進(jìn)行行評(píng)估，同時(shí)時(shí)對(duì)已存在的的或規(guī)劃的安安全控制措施施進(jìn)行界定信息安全管理理體系的建立立需要確定信信息安全需求求信息安全需求求獲取的主要要手段就是安安全風(fēng)險(xiǎn)評(píng)估估信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估是信息息安全管理體體系建立的基基礎(chǔ)，沒有風(fēng)風(fēng)險(xiǎn)評(píng)估，信信息安全管理理體系的建立立就沒有依據(jù)據(jù)31風(fēng)險(xiǎn)處理是信信息安全管理理的核心風(fēng)險(xiǎn)處理是對(duì)對(duì)風(fēng)險(xiǎn)評(píng)估活活動(dòng)識(shí)別出的的風(fēng)險(xiǎn)進(jìn)行決決策，采取適適當(dāng)?shù)目刂拼氪胧┨幚聿荒苣芙邮艿娘L(fēng)險(xiǎn)險(xiǎn)，將風(fēng)險(xiǎn)控控制在可按受受的范圍風(fēng)險(xiǎn)評(píng)估活動(dòng)動(dòng)只能揭示組組織面臨的風(fēng)風(fēng)險(xiǎn)，不能改改變風(fēng)險(xiǎn)狀況況只有通過風(fēng)險(xiǎn)險(xiǎn)處理活動(dòng)，，組織的信息息安全能力才才會(huì)提升，信信息安全需求求才能被滿足足，才能實(shí)現(xiàn)其信息安安全目標(biāo)信息安全管理理的核心就是是這些風(fēng)險(xiǎn)處處理措施的集集合32風(fēng)險(xiǎn)管理是信信息安全管理理的根本方法法33應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估估的結(jié)果進(jìn)行行相應(yīng)的風(fēng)險(xiǎn)險(xiǎn)處理。本質(zhì)質(zhì)上，風(fēng)險(xiǎn)處處理的最佳集集合就是信息息安全管理體體系的控制措措施集合梳理出這些風(fēng)風(fēng)險(xiǎn)控制措施施集合的過程程也就是信息息安全管理體體系的建立過過程周期性的風(fēng)險(xiǎn)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)險(xiǎn)處理活動(dòng)即即形成對(duì)風(fēng)險(xiǎn)險(xiǎn)的動(dòng)態(tài)管理理動(dòng)態(tài)的風(fēng)險(xiǎn)管管理是進(jìn)行信信息安全管理理、實(shí)現(xiàn)信息息安全目標(biāo)、、維持信息安安全水平的根根本方法控制措施是管管理風(fēng)險(xiǎn)的具具體手段34管理風(fēng)險(xiǎn)的具具體手段是控控制措施風(fēng)險(xiǎn)處理時(shí)，，需要選擇并并確定適當(dāng)?shù)牡目刂颇繕?biāo)和和控制措施。。只有落實(shí)適適當(dāng)?shù)目刂拼氪胧切┎徊豢山邮艿母吒唢L(fēng)險(xiǎn)才能降降低到可以接接受的水平之之內(nèi)控制措施的類別35從手段來看，可以分為技技術(shù)性、管理理性、物理性性、法律性等等控制措施從功能來看，可以分為預(yù)預(yù)防性、檢測測性、糾正性性、威懾性等等控制措施從影響范圍來來看，常被分為安安全方針、信信息安全組織織、資產(chǎn)管理理、人力資源源安全、物理理和環(huán)境安全全、通信和操操作管理、訪訪問控制、信信息系統(tǒng)獲取取開發(fā)和維護(hù)護(hù)、信息安全全事件管理、、業(yè)務(wù)連續(xù)性性管理和符合合性11個(gè)類別/域過程process一組將輸入轉(zhuǎn)轉(zhuǎn)化為輸出的的相互關(guān)聯(lián)或或相互作用的的活動(dòng)。(--ISO/IEC27000:2009、ISO9000:2005)過程方法processapproach一個(gè)組織內(nèi)諸諸過程的系統(tǒng)統(tǒng)的運(yùn)用，連連同這些過程程的識(shí)別和相相互作用及其其管理，可稱稱之為“過程程方法”。(--ISO/IEC27001:2005)系統(tǒng)地識(shí)別和和管理組織所所應(yīng)用的過程程，特別是這這些過程之間間的相互作用用，稱為“過程方法”。(--ISO9000:2005)過程、過程方方法的概念36過程方法示意意圖活動(dòng)測量、改進(jìn)責(zé)任人資源記錄輸入輸出過程方法37·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營活動(dòng)測量、改進(jìn)資源記錄過程的分解過程和子過程程的每一個(gè)方方面都是受控控的，過程的的輸出才是有有保障的輸出責(zé)任人輸入38A規(guī)劃實(shí)施檢查處置PDCPDCA循環(huán)39PDCA循環(huán)環(huán)40PDCA也稱“戴明環(huán)環(huán)”，由美國國質(zhì)量管理專專家戴明提出出P（Plan）：計(jì)劃，確定方方針和目標(biāo)，，確定活動(dòng)計(jì)計(jì)劃D（Do）：實(shí)施，實(shí)際去去做，實(shí)現(xiàn)計(jì)計(jì)劃中的內(nèi)容容C（Check）：檢查，總結(jié)執(zhí)執(zhí)行計(jì)劃的結(jié)結(jié)果，注意效效果，找出問問題A（Act）：行動(dòng)，對(duì)總結(jié)結(jié)檢查的結(jié)果果進(jìn)行處理，，成功地經(jīng)驗(yàn)驗(yàn)加以肯定并并適當(dāng)推廣、、標(biāo)準(zhǔn)化；失失敗的教訓(xùn)加加以總結(jié)，以以免重現(xiàn)；未未解決的問題題放到下一個(gè)個(gè)PDCA循環(huán)41特點(diǎn)一：按順序進(jìn)行，，它靠組織的的力量來推動(dòng)動(dòng)，像車輪一一樣向前進(jìn)，，周而復(fù)始，，不斷循環(huán)9090處置實(shí)施規(guī)劃檢查CADP特點(diǎn)二：組組織中的每個(gè)個(gè)部分，甚至至個(gè)人，均可可以PDCA循環(huán)，大環(huán)套套小環(huán)，一層層一層地解決決問題特點(diǎn)三：每通過一次PDCA循循環(huán)，都要進(jìn)進(jìn)行總結(jié)，提提出新目標(biāo)，，再進(jìn)行第二二次PDCA循環(huán)90909090處置實(shí)施規(guī)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃檢查CADPPDCA循環(huán)的特征與與作用PDCA循環(huán)環(huán)，能夠提供供一種優(yōu)秀的的過程方法，，以實(shí)現(xiàn)持續(xù)續(xù)改進(jìn)遵循PDCA循環(huán)，能使任何一項(xiàng)項(xiàng)活動(dòng)都有效效地進(jìn)行PDCA循環(huán)的作用42知識(shí)域：信息息安全管理方方法與實(shí)施知識(shí)子域：信信息安全管管理實(shí)施理解建設(shè)信息息安全管理體體系是系統(tǒng)地地實(shí)施信息安安全管理的一一種方法理解建設(shè)信息息安全等級(jí)保保護(hù)是系統(tǒng)地地實(shí)施信息安安全管理的一一種方法了解基于NISTSP800進(jìn)行信息安全全建設(shè)是實(shí)施施信息安全管管理的一種方方法43ISMS是一種常見的的對(duì)組織信息息安全進(jìn)行全全面、系統(tǒng)管管理的方法ISMS是由ISO27001定義的一種有有關(guān)信息安全全的管理體系系，是一種典典型的基于風(fēng)風(fēng)險(xiǎn)管理和過過程方法的管管理體系周期性的風(fēng)險(xiǎn)險(xiǎn)評(píng)估、內(nèi)部部審核、有效效性測量、管管理評(píng)審，是是ISMS規(guī)定的四個(gè)必必要活動(dòng)，能能確保ISMS進(jìn)入良性循環(huán)環(huán)、持續(xù)自我我改進(jìn)信息安全管理理體系44信息安全管理理體系持續(xù)改改進(jìn)的PDCA循環(huán)過程程45信息安全管理理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)進(jìn)的一個(gè)循環(huán)環(huán)體規(guī)劃和建立實(shí)施和運(yùn)行監(jiān)視和評(píng)審保持和改進(jìn)輸入相關(guān)方信息安全要求求和期望相關(guān)方受控的信息安安全輸出45ISMS的核心內(nèi)容可可以概括為4句話規(guī)定你應(yīng)該做做什么并形成成文件 ：Plan做文件已規(guī)定定的事情：：Do評(píng)審你所做的的事情的符合合性 ：Check采取糾正和預(yù)預(yù)防措施，持持續(xù)改進(jìn)：：Act用PDCA來理解什么是是信息安全管管理體系4647ISO/IEC27000標(biāo)準(zhǔn)族27000~2700327004~2700827000信息安全管理理體系概述和術(shù)語27001信息安全管理理體系要求27002信息安全控制措施實(shí)用規(guī)則27003信息安全管理理體系實(shí)施指南27004信息安全管理理測量27005信息安全風(fēng)險(xiǎn)險(xiǎn)管理27006提供信息安全全管理體系審審核和認(rèn)證機(jī)機(jī)構(gòu)的要求27007信息安全管理理體系審核指南27008信息安全管理理體系控制措施審核核員指南27001270022700027006270052700327004信息安全管理理體系基本原原理和詞匯ISO27000標(biāo)準(zhǔn)族日益完完善，已經(jīng)開開發(fā)和計(jì)劃開開發(fā)的標(biāo)準(zhǔn)有有60余項(xiàng)信息安全等級(jí)級(jí)保護(hù)也是一一種常見的對(duì)對(duì)組織的信息息安全進(jìn)行全全面、系統(tǒng)管管理的實(shí)施方方法依據(jù)《計(jì)算機(jī)機(jī)信息系統(tǒng)安安全保護(hù)條例例》對(duì)信息安安全進(jìn)行全面面管理的一套套機(jī)制將信息系統(tǒng)按按照重要性和和受破壞危害害程度分成五五個(gè)安全保護(hù)護(hù)等級(jí)，不同同保護(hù)等級(jí)的的系統(tǒng)分別給給予不同級(jí)別別的保護(hù)系統(tǒng)定級(jí)、安全建建設(shè)/整改、自查、、等級(jí)測評(píng)、、系統(tǒng)備案和監(jiān)督檢檢查是信息安安全等級(jí)保護(hù)護(hù)的六個(gè)規(guī)定定活動(dòng)信息安全等級(jí)級(jí)保護(hù)48參照NISTSP800進(jìn)行建設(shè)也是一種常見見的對(duì)組織的的信息安全進(jìn)進(jìn)行全面、系系統(tǒng)管理的實(shí)實(shí)施方法NISTSP800是由美國國家家標(biāo)準(zhǔn)與技術(shù)術(shù)研究院發(fā)布布的一系列特特別出版物（（SpecialPublications，SP），是關(guān)于計(jì)算機(jī)機(jī)安全的指南南文檔美國《聯(lián)邦信息安安全管理法案案》（FederalInformationSecurityManagementAct，F(xiàn)ISMA），專門指定定NIST負(fù)責(zé)開展信息息安全標(biāo)準(zhǔn)、、指導(dǎo)方針的的制定NISTSP800規(guī)范范49SP800-37描述述了了此此系系列列規(guī)規(guī)范范遵遵從從的的風(fēng)險(xiǎn)險(xiǎn)管管理理框框架架NISTSP800規(guī)范范50SP800-37給出出了了遞遞升升的風(fēng)險(xiǎn)險(xiǎn)管管理理方方法法NISTSP800規(guī)范范51三種種典典型型信信息息安安全全管管理理實(shí)實(shí)施施方方法法的的區(qū)別別和和聯(lián)聯(lián)系系52

應(yīng)用對(duì)象應(yīng)用特點(diǎn)ISMS各種類型的組織（有體系建立需求）完全以市場化需求為主，不具備強(qiáng)制性。以風(fēng)險(xiǎn)管理方法為基礎(chǔ)，如果實(shí)施體系認(rèn)證，必須完全滿足27001標(biāo)準(zhǔn)要求等級(jí)保護(hù)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)作為我國的一項(xiàng)基礎(chǔ)制度加以推行，有一定強(qiáng)制性。主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全NISTSP800聯(lián)邦機(jī)構(gòu)或非政府組織與FIPS不同，是非強(qiáng)制性的。但聯(lián)邦機(jī)構(gòu)應(yīng)采納FIPS中要求使用的NISTSP以及OMB要求的特定NISTSP。以風(fēng)險(xiǎn)管理方法為基礎(chǔ)，應(yīng)用時(shí)有一定的靈活性課程程內(nèi)內(nèi)容容53知識(shí)識(shí)體體知識(shí)識(shí)域域知識(shí)識(shí)子子域域信息息安安全全管理理體體系系信息息安安全全管理理體體系系建建設(shè)設(shè)信息安全管理體系認(rèn)證文檔控制管理職責(zé)規(guī)劃與建立ISMS信息息安安全全管理理體體系系基基礎(chǔ)礎(chǔ)內(nèi)部審核和管理評(píng)審信息息安安全全控制制措措施施實(shí)施和運(yùn)行ISMS監(jiān)視和評(píng)審ISMS保持和改進(jìn)ISMS知識(shí)識(shí)域域：：信信息息安安全全管管理理體體系系基基礎(chǔ)礎(chǔ)知識(shí)識(shí)子子域域：：管理理職職責(zé)責(zé)理解解管管理理者者履履行行管管理理職職責(zé)責(zé)對(duì)對(duì)成成功功實(shí)實(shí)施施信信息息安安全全管管理理體體系系（（ISMS）的的重重要要推推動(dòng)動(dòng)作作用用掌握握實(shí)實(shí)施施ISMS過程程中中管管理理者者應(yīng)應(yīng)承承擔(dān)擔(dān)的的管管理理職職責(zé)責(zé)的的主主要要內(nèi)內(nèi)容容54管理理者者履履行行管管理理職職責(zé)責(zé)的的重重要要作作用用管理理層層切實(shí)實(shí)履行行相相應(yīng)應(yīng)的的管管理理職職責(zé)責(zé)是是ISMS能夠夠成成功功實(shí)實(shí)施施的的最最關(guān)關(guān)鍵鍵因因素素，，會(huì)對(duì)對(duì)ISMS建設(shè)設(shè)產(chǎn)產(chǎn)生生推推動(dòng)動(dòng)作作用用管理理者者提提供供足足夠夠的的資資源源是是對(duì)對(duì)ISMS建設(shè)設(shè)實(shí)實(shí)質(zhì)質(zhì)性性的的支支持持55主要要管管理理職職責(zé)責(zé)承擔(dān)擔(dān)并并履履行行職職責(zé)責(zé)制定定并并頒頒布布信信息息安安全全方方針針確保保ISMS目標(biāo)標(biāo)和和相相應(yīng)應(yīng)的的計(jì)計(jì)劃劃得得以以制制定定建立立信信息息安安全全的的角角色色和和職職責(zé)責(zé)向組組織織傳傳達(dá)達(dá)滿滿足足信信息息安安全全目目標(biāo)標(biāo)、、符符合合信信息息安安全全方方針針、、履履行行法法律律責(zé)責(zé)任任和和持持續(xù)續(xù)改改進(jìn)進(jìn)的的重重要要性性決定定風(fēng)風(fēng)險(xiǎn)險(xiǎn)可可接接受受級(jí)級(jí)別別和和風(fēng)風(fēng)險(xiǎn)險(xiǎn)可可接接受受準(zhǔn)準(zhǔn)則則確保保ISMS內(nèi)部部審審核核的的執(zhí)執(zhí)行行實(shí)施施ISMS的管管理理評(píng)評(píng)審審提供供足足夠夠資資源源資金金能勝勝任任相相關(guān)關(guān)工工作作的的人人員員（（通通過過提提供供培培訓(xùn)訓(xùn)、、教教育育））56知識(shí)識(shí)域域：：信信息息安安全全管管理理體體系系基基礎(chǔ)礎(chǔ)知識(shí)識(shí)子子域域：：文檔檔控控制制理解解文文檔檔化化對(duì)對(duì)實(shí)實(shí)施施ISMS的重重要要性性理解解風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估結(jié)結(jié)果果是是編編制制ISMS文件件的的依依據(jù)據(jù)了解解對(duì)對(duì)ISMS文件件和和記記錄錄進(jìn)進(jìn)行行保保護(hù)護(hù)和和控控制制的的常常規(guī)規(guī)措措施施57文檔檔化化對(duì)對(duì)實(shí)實(shí)施施ISMS的重重要要性性文檔檔包包括括文文件件(如方方針針、、策策略略、、標(biāo)標(biāo)準(zhǔn)準(zhǔn)、、指指南南等等)和記記錄錄文件件是ISMS的一一個(gè)個(gè)關(guān)關(guān)鍵鍵要要素素，，是組織織內(nèi)內(nèi)部部的的““法法””，，也也是是ISMS審核核的的依依據(jù)據(jù)記錄錄是文文件件執(zhí)執(zhí)行行情情況況的的客客觀觀證證據(jù)據(jù)，，為為各各項(xiàng)項(xiàng)控控制制措措施施是是否否有有效效實(shí)實(shí)施施、、ISMS是否否有有效效運(yùn)運(yùn)行行提提供供客客觀觀證證據(jù)據(jù)層次次化化的的文文檔檔是是ISMS建設(shè)設(shè)的的直直接接體體現(xiàn)現(xiàn)，，也也是是ISMS建設(shè)設(shè)的的成成果果之之一一應(yīng)對(duì)對(duì)文文件件和和記記錄錄進(jìn)進(jìn)行行控控制制58文件件編編制制依依據(jù)據(jù)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的結(jié)結(jié)果果是是文文件件編編制制的的直直接接依依據(jù)據(jù)有風(fēng)風(fēng)險(xiǎn)險(xiǎn)的的地地方方才才需需要要管管理理和和控控制制依據(jù)據(jù)風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估結(jié)結(jié)果果編編制制的的文文件件體體系系才才是是最最適適合合的的、、最最需需要要的的59易于于管管理理和和維維護(hù)護(hù)的的ISMS層次次化化文文檔檔結(jié)結(jié)構(gòu)構(gòu)方針、手冊(cè)等管理制度、程序、策略文件等操作規(guī)范、規(guī)程、作業(yè)指導(dǎo)書、模板文件等計(jì)劃、表格、報(bào)告、各種運(yùn)行/檢查記錄、日志文件等一級(jí)文件二級(jí)文件三級(jí)文件四級(jí)文件一級(jí)級(jí)文文件件：：方方針針性性文文件件二級(jí)級(jí)文文件件：：信信息息安安全全管管控控程程序序、、管管理理規(guī)規(guī)定定性性文文件件三級(jí)級(jí)文文件件：：操操作作指指南南、、作作業(yè)業(yè)指指導(dǎo)導(dǎo)書書類類四級(jí)級(jí)文文件件：：體體系系運(yùn)運(yùn)行行的的各各種種記記錄錄下級(jí)文件件應(yīng)支持持上級(jí)文文件60文件控制制文件在發(fā)發(fā)布以前前，應(yīng)得得到相應(yīng)應(yīng)級(jí)別管管理層的的批準(zhǔn)定期評(píng)審審、更新新并再次次得到批批準(zhǔn)，當(dāng)當(dāng)發(fā)生重重大變化化或重大大信息安安全事件件時(shí)應(yīng)及及時(shí)評(píng)審審和修訂對(duì)文件的的修訂和和修訂狀狀態(tài)、版版本進(jìn)行行標(biāo)識(shí)，確保員工工使用文文件的最最新版本本標(biāo)明每份份文件的的密級(jí)和和分發(fā)范范圍61記錄控制制明確記錄的保保存環(huán)境境要求明確保存期限限要求明確訪問控制制要求明確檢索要求求（比如，支支持按特特定條件件進(jìn)行查查詢和統(tǒng)統(tǒng)計(jì)）62知識(shí)域：：信息安安全管理理體系基基礎(chǔ)知識(shí)子域域：內(nèi)部審核核和管理理評(píng)審了解內(nèi)部部審核的的概念，，以及內(nèi)內(nèi)部審核核的目的的、實(shí)施施主體、、實(shí)施方方式、審審核準(zhǔn)則則了解管理理評(píng)審的的概念，，以及管管理評(píng)審審的目的的、實(shí)施施主體、、實(shí)施對(duì)對(duì)象、實(shí)實(shí)施方式式63內(nèi)部審核核是用于內(nèi)內(nèi)部目的的，由組組織自己己或以組組織的名名義所進(jìn)進(jìn)行的審審核也稱第一一方審核核是ISMS能夠持續(xù)續(xù)改進(jìn)的的重要?jiǎng)觿?dòng)力之一一組織應(yīng)按按照既定定的周期期實(shí)施ISMS內(nèi)部審核核64內(nèi)部審核核目的確定ISMS的控制目目標(biāo)、控控制措施施是否符符合相關(guān)關(guān)標(biāo)準(zhǔn)和和法律法法規(guī)以及及合同條條款的要要求確定各項(xiàng)項(xiàng)控制措措施是否否得到有有效的實(shí)實(shí)施和保保持確定員工工的業(yè)務(wù)務(wù)行為是是否符合合組織ISMS文件所規(guī)規(guī)定的要要求實(shí)施主體體ISMS內(nèi)審小組組實(shí)施方式式文件審核核、現(xiàn)場場審核審核準(zhǔn)則則相關(guān)標(biāo)準(zhǔn)準(zhǔn)、法規(guī)規(guī)法規(guī)、、合同條條款、ISMS文件65管理評(píng)審審為實(shí)現(xiàn)已已建立的的目標(biāo)，而進(jìn)行的的確定管管理體系系的適宜宜性、充充分性和和有效性性的活動(dòng)動(dòng)也是ISMS能夠持續(xù)續(xù)改進(jìn)的的重要?jiǎng)觿?dòng)力之一一組織應(yīng)按按照既定定的周期期實(shí)施ISMS管理評(píng)審審66管理評(píng)審審目的確保組織織的ISMS持續(xù)具備備適宜性性、充分分性和有有效性實(shí)施主體體組織的高高級(jí)管理理層實(shí)施對(duì)象象ISMS文件體系系、各種管理理評(píng)審輸輸入材料料實(shí)施方式式最常見的的是召開開管理評(píng)評(píng)審會(huì)議議，由組組織的高高級(jí)管理理層親自自主導(dǎo)實(shí)實(shí)施67知識(shí)域：：信息安安全管理理體系基基礎(chǔ)知識(shí)子域域：信息安全全管理體體系認(rèn)證證了解ISMS認(rèn)證的概概念理解ISMS認(rèn)證是促促進(jìn)信息息安全管管理體系系改進(jìn)的的一種外外部驅(qū)動(dòng)動(dòng)力68ISMS認(rèn)證ISMS認(rèn)證，是是由ISMS認(rèn)證機(jī)構(gòu)構(gòu)依據(jù)ISO/IEC27001對(duì)申請(qǐng)組組織的ISMS進(jìn)行審核核，并向向通過審審核的申申請(qǐng)組織織頒發(fā)ISMS認(rèn)證證書書的活動(dòng)動(dòng)認(rèn)證機(jī)構(gòu)構(gòu)是指那那些從事事對(duì)產(chǎn)品品（服務(wù)務(wù)）、過過程、體體系或人人員是否否符合規(guī)規(guī)定要求求實(shí)施認(rèn)認(rèn)證活動(dòng)動(dòng)的合格格評(píng)定機(jī)機(jī)構(gòu)ISMS認(rèn)證是證證明一個(gè)個(gè)組織的的信息安安全水平平達(dá)到并并滿足ISMS國際/國家標(biāo)準(zhǔn)準(zhǔn)要求的的有效途途徑ISMS認(rèn)證活動(dòng)，能從第第三方客客觀公正正的角度度，發(fā)現(xiàn)現(xiàn)ISMS存在的不不足和問問題，是促進(jìn)進(jìn)ISMS持續(xù)改進(jìn)進(jìn)的一種種外部驅(qū)動(dòng)動(dòng)力69ISMS認(rèn)證ISMS認(rèn)證通常常包含一一組審核核，包括括初次認(rèn)認(rèn)證審核核、年度度監(jiān)督審審核和復(fù)復(fù)審ISMS認(rèn)證證書書有效期期一般為為三年，，頒發(fā)認(rèn)認(rèn)證證書書后的第第一、第第二年需需要進(jìn)行行年度監(jiān)監(jiān)督審核核，第三三年進(jìn)行行復(fù)審，，復(fù)審?fù)ㄍㄟ^后重重新頒發(fā)發(fā)認(rèn)證證證書70知識(shí)域：：信息安安全管理理體系建建設(shè)知識(shí)子域域：規(guī)劃與建建立ISMS理解定義義ISMS范圍和邊邊界、實(shí)實(shí)施風(fēng)險(xiǎn)險(xiǎn)評(píng)估、、獲得管管理者對(duì)對(duì)殘余風(fēng)風(fēng)險(xiǎn)的批批準(zhǔn)等規(guī)規(guī)劃與建建立ISMS的主要工工作內(nèi)容容71采用過程程方法來來建立和和管理ISMS72ISO27001要求求采用過過程方法法來建立立、實(shí)施施和運(yùn)行行、監(jiān)視視和評(píng)審審、保持持和改進(jìn)進(jìn)組織的的ISMS按照PDCA循循環(huán)理念念運(yùn)行的的信息安安全管理理體系是是從過程程上嚴(yán)格格保證了了ISMS的有有效性，，在過程程上的這這些要求求是不可可或缺的的，也就就是說不不是可選選的，是是必須執(zhí)執(zhí)行的ISMS應(yīng)用過過程方法法的結(jié)構(gòu)構(gòu)73規(guī)劃與建建立ISMSP1-定義ISMS范圍和邊邊界P2-制定ISMS方針P3-確定風(fēng)險(xiǎn)險(xiǎn)評(píng)估方方法P4-實(shí)施風(fēng)險(xiǎn)險(xiǎn)評(píng)估P5-選擇、評(píng)評(píng)價(jià)和確確定風(fēng)險(xiǎn)險(xiǎn)處理方方式、處處理目標(biāo)標(biāo)和處理理措施P6-獲得管理理者對(duì)建建議的殘殘余風(fēng)險(xiǎn)險(xiǎn)的批準(zhǔn)準(zhǔn)P7-獲得管理理者對(duì)實(shí)實(shí)施和運(yùn)運(yùn)行ISMS的授權(quán)P8-編制適用用性聲明明（SoA）74P1-定定義ISMS范范圍和邊邊界75ISMS的范圍就就是需要要重點(diǎn)進(jìn)進(jìn)行信息息安全管管理的領(lǐng)領(lǐng)域，組組織需要要根據(jù)自自己的實(shí)實(shí)際情況況，在整整個(gè)組織織范圍內(nèi)內(nèi)、個(gè)別別部門或或領(lǐng)域構(gòu)構(gòu)建ISMS在定義ISMS范圍時(shí)，，應(yīng)重點(diǎn)點(diǎn)考慮組組織現(xiàn)有有的部門門、信息息資產(chǎn)的的分布狀狀況、核核心業(yè)務(wù)務(wù)的流程程區(qū)域以以及信息息技術(shù)的的應(yīng)用區(qū)區(qū)域在本階段段，應(yīng)將將組織劃劃分成不不同的信信息安全全控制領(lǐng)領(lǐng)域，以以易于組組織對(duì)有有不同需需求的領(lǐng)領(lǐng)域進(jìn)行行適當(dāng)?shù)牡男畔舶踩芾砝鞵2-制定ISMS方針76信息安全全方針是是組織的的管理層層制定的的一個(gè)高高層文件件，用于于指導(dǎo)組組織如何何對(duì)資產(chǎn)產(chǎn)進(jìn)行管管理、保保護(hù)和分分配的規(guī)規(guī)則和指指示信息安全全方針應(yīng)應(yīng)當(dāng)闡明明管理層層的承諾諾，提出出組織管管理信息息安全的的方法，，并由管管理層批批準(zhǔn)，采采用適當(dāng)當(dāng)?shù)姆椒ǚ▽⒎结樶槀鬟_(dá)給給每一個(gè)個(gè)員工信息安全全方針應(yīng)應(yīng)當(dāng)簡明明、扼要要，便于于理解，，至少包包括目標(biāo)標(biāo)、范圍圍、意圖圖、法規(guī)規(guī)的遵從從性和管管理的責(zé)責(zé)任等內(nèi)內(nèi)容P3-確確定風(fēng)險(xiǎn)險(xiǎn)評(píng)估方方法77識(shí)別并確確定適合合ISMS的風(fēng)險(xiǎn)評(píng)評(píng)估方法法，確保保風(fēng)險(xiǎn)評(píng)評(píng)估產(chǎn)生生可比較較的和可可再現(xiàn)的的結(jié)果組織可采采取不同同風(fēng)險(xiǎn)評(píng)評(píng)估法方方法，一一個(gè)方法法是否適適合于特特定組織織，有很很多影響響因素，，包括：：業(yè)務(wù)環(huán)境境業(yè)務(wù)性質(zhì)質(zhì)與業(yè)務(wù)務(wù)重要性性對(duì)支持組組織業(yè)務(wù)務(wù)活動(dòng)的的信息系系統(tǒng)的依依賴程度度業(yè)務(wù)內(nèi)容容、支持持系統(tǒng)、、應(yīng)用軟軟件和服服務(wù)的復(fù)復(fù)雜性貿(mào)易伙伴伴、外部部業(yè)務(wù)關(guān)關(guān)系、合合同數(shù)量量的大小小這些因素素對(duì)風(fēng)險(xiǎn)險(xiǎn)評(píng)估方方法的選選擇都很很重要，，不僅風(fēng)風(fēng)險(xiǎn)評(píng)估估要考慮慮成本與與效益的的權(quán)衡，，不出現(xiàn)現(xiàn)過度安安全；風(fēng)風(fēng)險(xiǎn)評(píng)估估自身也也要考慮慮成本與與效益的的權(quán)衡，，不出現(xiàn)現(xiàn)過度復(fù)復(fù)雜制定接受受風(fēng)險(xiǎn)的的準(zhǔn)則，，識(shí)別可可接受的的風(fēng)險(xiǎn)級(jí)級(jí)別P4-實(shí)施風(fēng)險(xiǎn)險(xiǎn)評(píng)估78風(fēng)險(xiǎn)評(píng)估估準(zhǔn)備風(fēng)險(xiǎn)要素素識(shí)別識(shí)別ISMS范圍內(nèi)的的資產(chǎn)及及其責(zé)任任人[1]識(shí)別資產(chǎn)產(chǎn)所面臨臨的威脅脅識(shí)別可能被被威脅利用用的脆弱點(diǎn)點(diǎn)識(shí)別已有的的控制措施施風(fēng)險(xiǎn)分析分析事件發(fā)發(fā)生的可能能性分析事件造造成的影響響實(shí)施風(fēng)險(xiǎn)計(jì)計(jì)算風(fēng)險(xiǎn)結(jié)果判判定評(píng)估風(fēng)險(xiǎn)的的等級(jí)綜合評(píng)估風(fēng)風(fēng)險(xiǎn)狀況[1]術(shù)語“責(zé)任任人”標(biāo)識(shí)識(shí)了已經(jīng)獲獲得批準(zhǔn)，，負(fù)有控制制資產(chǎn)的產(chǎn)產(chǎn)生、開發(fā)發(fā)、維護(hù)、、使用和保保證資產(chǎn)的的安全的管管理職責(zé)的的個(gè)人或?qū)崒?shí)體。術(shù)語語“責(zé)任人人”不是指指該人員實(shí)實(shí)際上對(duì)資資產(chǎn)擁有所所有權(quán)P5-選擇、評(píng)價(jià)價(jià)和確定風(fēng)風(fēng)險(xiǎn)處理方方式、處理理目標(biāo)和處處理措施79常用的處理理方式包括括：采用適當(dāng)?shù)牡目刂拼胧┦ń档惋L(fēng)險(xiǎn)）在明顯滿足足組織方針針策略和接接受風(fēng)險(xiǎn)的的準(zhǔn)則的條條件下，有有意識(shí)地、、客觀地接受風(fēng)險(xiǎn)避免風(fēng)險(xiǎn)將相關(guān)業(yè)務(wù)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移移到其他方方，如：保保險(xiǎn)，供應(yīng)應(yīng)商等（轉(zhuǎn)移風(fēng)險(xiǎn)）風(fēng)險(xiǎn)處理方方式及決策策原則80降低風(fēng)險(xiǎn)：：在考慮轉(zhuǎn)移移風(fēng)險(xiǎn)前，，應(yīng)首先考考慮采取措措施降低風(fēng)風(fēng)險(xiǎn)避免風(fēng)險(xiǎn)：：有些風(fēng)險(xiǎn)容容易避免，，例如采用用不同的技技術(shù)、更改改操作流程程、采用簡簡單的技術(shù)術(shù)措施等轉(zhuǎn)移風(fēng)險(xiǎn)：：通常只有當(dāng)當(dāng)風(fēng)險(xiǎn)不能能被降低風(fēng)風(fēng)險(xiǎn)和避免免、且被第第三方接受受時(shí)才采用用接受風(fēng)險(xiǎn)：：用于那些在在采取了降降低風(fēng)險(xiǎn)和和避免風(fēng)險(xiǎn)險(xiǎn)措施后，，出于實(shí)際際和經(jīng)濟(jì)方方面的原因因，只要組組織進(jìn)行運(yùn)運(yùn)營，就必必然存在并并必須接受受的風(fēng)險(xiǎn)為處理風(fēng)險(xiǎn)險(xiǎn)選擇控制制目標(biāo)和控控制措施81選擇控制目目標(biāo)和控制制措施應(yīng)考考慮接受風(fēng)風(fēng)險(xiǎn)的準(zhǔn)則則以及法律律法規(guī)和合合同要求將ISO27001附錄A作為選擇控控制措施的的出發(fā)點(diǎn)，，以確保不不會(huì)遺漏重重要的可選選控制措施施組織也可能能需要制定定ISO27001附錄A以外的控制制目標(biāo)和控控制措施提示：在選選擇控制目目標(biāo)和控制制措施時(shí)，，并沒有一一套標(biāo)準(zhǔn)與與通用的辦辦法，選擇擇的過程往往往不是很很直接，可可能要涉及及一系列的的討論、咨咨詢和決策策過程P6-獲得得管理者對(duì)對(duì)建議的殘殘余風(fēng)險(xiǎn)的的批準(zhǔn)82獲得管理層層接受風(fēng)險(xiǎn)險(xiǎn)評(píng)估團(tuán)隊(duì)隊(duì)所建議的的殘余風(fēng)險(xiǎn)險(xiǎn)的確認(rèn)是是風(fēng)險(xiǎn)評(píng)估估活動(dòng)中的的一個(gè)重要要過程管理層確認(rèn)認(rèn)接受殘余余風(fēng)險(xiǎn)，是是對(duì)風(fēng)險(xiǎn)評(píng)評(píng)估工作的的一種肯定定，表示管管理層已經(jīng)經(jīng)全面了解解了組織所所面臨的風(fēng)風(fēng)險(xiǎn)，并理理解在風(fēng)險(xiǎn)險(xiǎn)一旦變?yōu)闉楝F(xiàn)實(shí)后，，組織能夠夠且必須承承擔(dān)引發(fā)的的后果如果一個(gè)組組織所建立立的ISMS要尋求認(rèn)證證，認(rèn)證機(jī)機(jī)構(gòu)將尋求求管理層確確認(rèn)接受殘殘余風(fēng)險(xiǎn)的的書面證據(jù)據(jù)P7-獲得管理者者對(duì)實(shí)施和和運(yùn)行ISMS的授權(quán)83必須獲得管管理者對(duì)實(shí)實(shí)施和運(yùn)行行ISMS的授權(quán)。。沒有授權(quán)權(quán)，實(shí)施和和運(yùn)行ISMS的相相關(guān)活動(dòng)就就很難推進(jìn)進(jìn)實(shí)施和運(yùn)行行ISMS，需要大大量的資源源（人力、、資金等）），沒有管管理層的授授權(quán)，就很很難申請(qǐng)并并獲得這些些資源P8-編制適用性性聲明（SoA）84所選擇的控控制目標(biāo)和和措施以及及被選擇的的原因應(yīng)在在適用性聲聲明（StatementofApplicability，SoA）中進(jìn)行說明明SoA是適合組織織需要的控控制目標(biāo)和和控制的評(píng)評(píng)論，需要要提交給管管理者、職職員、具有有訪問權(quán)限限的第三方方相關(guān)認(rèn)證證機(jī)構(gòu)編制SoA一方面是為為了向組織織內(nèi)的員工工聲明對(duì)在在面臨的信信息安全風(fēng)風(fēng)險(xiǎn)的態(tài)度度，更大程程度上則是是為了向外外界表明組組織的態(tài)度度和作為，，以表明組組織已經(jīng)全全面、系統(tǒng)統(tǒng)地審視了了組織的信信息安全系系統(tǒng)，并將將所有需要要控制的風(fēng)風(fēng)險(xiǎn)控制在在能被接受受的范圍內(nèi)內(nèi)知識(shí)域：信信息安全管管理體系建建設(shè)知識(shí)子域：：實(shí)施和運(yùn)行行ISMS理解實(shí)施風(fēng)風(fēng)險(xiǎn)處理計(jì)計(jì)劃、開發(fā)發(fā)有效性測測量程序、、管理ISMS的運(yùn)行等實(shí)實(shí)施和運(yùn)行行ISMS的主要工作作內(nèi)容85實(shí)施和運(yùn)行行ISMSD1-制定風(fēng)險(xiǎn)處處理計(jì)劃D2-實(shí)施風(fēng)險(xiǎn)處處理計(jì)劃D3-開發(fā)有效性性測量程序序D4-實(shí)施培訓(xùn)和和意識(shí)教育育計(jì)劃D5-管理ISMS的運(yùn)行D6-管理ISMS的資源D7-執(zhí)行檢測事事態(tài)和響應(yīng)應(yīng)事件的程程序86D3-開發(fā)發(fā)有效性測測量程序ISMS運(yùn)行及控制制措施是否否有效，要要有測量方方法和途徑徑，以便制制定改進(jìn)措措施加以改改進(jìn)開發(fā)一份有有效性測量量程序，明明確需要設(shè)設(shè)立的測量量項(xiàng)目，以以及每一測測量項(xiàng)目的的度量標(biāo)準(zhǔn)準(zhǔn)、要求達(dá)達(dá)到的指標(biāo)標(biāo)、測量方方式、測量量周期、測測量執(zhí)行人人有效性測量量程序本身身，應(yīng)做為為ISMS文件加以管管理和控制制87D5-管理理ISMS的運(yùn)行批準(zhǔn)并發(fā)布布ISMS文件宣貫和解釋釋ISMS文件要求ISMS試運(yùn)行期間間的管理宣布ISMS正式運(yùn)行88ISMS試試運(yùn)行ISMS運(yùn)行初期處處于磨合期期，一般稱稱為試運(yùn)行行期試運(yùn)行期的的目的是要要在實(shí)踐中中檢驗(yàn)ISMS的充分性、、適用性和和有效性此期間，宜宜加強(qiáng)運(yùn)作作力度，通通過實(shí)施ISMS文件，充分分發(fā)揮ISMS本身的各項(xiàng)項(xiàng)功能，及及時(shí)發(fā)現(xiàn)ISMS本身存在的的問題，找找出問題的的根源，采采取糾正措措施，并按按照文件控控制程序要要求更改體體系文件，，以達(dá)到進(jìn)進(jìn)一步完善善ISMS的目的89知識(shí)域：信信息安全管管理體系建建設(shè)知識(shí)子域：：監(jiān)視和評(píng)審審ISMS理解進(jìn)行有有效性測量量、實(shí)施內(nèi)內(nèi)部審核、、實(shí)施管理理評(píng)審等監(jiān)監(jiān)視和評(píng)審審ISMS的主要工作作內(nèi)容90監(jiān)視和評(píng)審審ISMSC1-日常監(jiān)視和和檢查C2-進(jìn)行有效性性測量C3-實(shí)施內(nèi)部審審核C4-實(shí)施風(fēng)險(xiǎn)再再評(píng)估C5-實(shí)施管理評(píng)評(píng)審91C1-日常監(jiān)視和和檢查是監(jiān)視與評(píng)審審ISMS階段的重要要活動(dòng)，能能發(fā)現(xiàn)ISMS運(yùn)行過程存存在的問題題手段包括自自動(dòng)入侵檢檢測、人工工檢查、趨勢(shì)分析析等應(yīng)作為正常常業(yè)務(wù)過程程的一部分分予以執(zhí)行行，以便迅迅速檢測出錯(cuò)誤，識(shí)別別安全違規(guī)規(guī)行為和安安全事件，，確認(rèn)安全全活動(dòng)或技技術(shù)性措施施是否如期期執(zhí)行92C2-進(jìn)行有效性性測量目的是驗(yàn)證ISMS運(yùn)行及各項(xiàng)項(xiàng)控制措施施是否有效效，是否滿滿足組織的的安全要求求和信息安安全方針，，是否達(dá)成成組織的信信息安全目目標(biāo)各測量項(xiàng)目目的測量執(zhí)執(zhí)行人要按按照既定的的測量方式式、測量周周期進(jìn)行測測量，生成成并保持測測量記錄對(duì)照已經(jīng)定定義的度量量標(biāo)準(zhǔn)，可可以得到每每個(gè)測量項(xiàng)項(xiàng)目的評(píng)定定結(jié)果，；對(duì)照應(yīng)達(dá)到到的指標(biāo)，，評(píng)判這一一測量項(xiàng)目目是否符合合要求通過實(shí)施有有效性測量量，組織能能夠準(zhǔn)確地地掌握其當(dāng)當(dāng)前信息安安全水平93C3-實(shí)施內(nèi)部審審核根據(jù)擬審核核業(yè)務(wù)過程程和范圍的的狀況、重重要性，以以及以往審審核結(jié)果，，確定審核核的準(zhǔn)則、、范圍、頻頻次和方法法常規(guī)的內(nèi)部部審核實(shí)施施流程：審核前的準(zhǔn)準(zhǔn)備編制內(nèi)部審審核計(jì)劃、、成立內(nèi)審審小組、編編制內(nèi)審檢檢查列表實(shí)施內(nèi)部審審核召開首次會(huì)會(huì)議、文件件審核、現(xiàn)現(xiàn)場審核、、確定不符符合項(xiàng)、召召開末次會(huì)會(huì)議編寫審核報(bào)報(bào)告內(nèi)容包括審審核情況概概述、審核核發(fā)現(xiàn)（即即符合項(xiàng)和和不符合項(xiàng)項(xiàng)的描述））、不符合合項(xiàng)的統(tǒng)計(jì)計(jì)與分析、、審核結(jié)論論以及糾正正措施要求求等內(nèi)部審核結(jié)結(jié)束后，還還應(yīng)有后續(xù)續(xù)跟蹤活動(dòng)動(dòng)94C5-實(shí)施管理評(píng)評(píng)審應(yīng)定期對(duì)ISMS實(shí)施管理評(píng)評(píng)審。當(dāng)系系統(tǒng)環(huán)境發(fā)發(fā)生較大變變化、組織織機(jī)構(gòu)發(fā)生生重大變化化或安全需需求發(fā)生改改變時(shí)，需需要適時(shí)進(jìn)進(jìn)行管理評(píng)評(píng)審?fù)ǔＲ哉匍_開管理評(píng)審審會(huì)議的方方式進(jìn)行評(píng)審輸入材材料95ISMS審核和評(píng)審審的結(jié)果相關(guān)方的反反饋改進(jìn)技術(shù)、產(chǎn)品和規(guī)程程、預(yù)防和糾糾正措施的的狀況以往風(fēng)險(xiǎn)評(píng)評(píng)估沒有充充分強(qiáng)調(diào)的的脆弱性和和威脅有效性測量量的結(jié)果以往管理評(píng)評(píng)審的跟蹤蹤措施可能影響ISMS的任何變更更改進(jìn)ISMS的任何建議議評(píng)審輸出ISMS有效性的改改進(jìn)風(fēng)險(xiǎn)評(píng)估和和風(fēng)險(xiǎn)處置置計(jì)劃的更更新資源需求有效性測量量方法的改改進(jìn)修改ISMS文件和控制制措施以響響應(yīng)各種變變化知識(shí)域：信信息安全管管理體系建建設(shè)知識(shí)子域：：保持和改進(jìn)進(jìn)ISMS理解實(shí)施糾糾正和預(yù)防防措施、溝溝通措施和和改進(jìn)情況況等保持和和改進(jìn)ISMS的主要工作作內(nèi)容96保持和改進(jìn)進(jìn)ISMSA1-實(shí)施施糾正和預(yù)預(yù)防措施A2-溝通通措施和改改進(jìn)情況97A1-實(shí)施施糾正和預(yù)預(yù)防措施98不符合項(xiàng)指指：缺少或缺乏乏有效地實(shí)實(shí)施和維護(hù)護(hù)一個(gè)或多多個(gè)ISMS的要求在有客觀證證據(jù)的基礎(chǔ)礎(chǔ)上，引起起對(duì)ISMS安全方針和和組織安全全目標(biāo)能力力的重大懷懷疑從其它組織織和組織自自身的信息息安全實(shí)踐踐經(jīng)驗(yàn)和安安全事件教教訓(xùn)中學(xué)習(xí)習(xí)，采取相相應(yīng)的改進(jìn)進(jìn)措施，持持續(xù)提高信信息安全管管理的水平平糾正正性性措措施施：：為消消除除與與ISMS要求求不不符符合合發(fā)發(fā)生生的的原原因因，，并并防防止止其其再再發(fā)發(fā)生生所所采采取取的的措措施施預(yù)防防性性措措施施：：為為消除除潛潛在在不不符符合合原原因因，，防防止止其其發(fā)發(fā)生生所所采采取取的的措措施施A2-溝溝通通措措施施和和改改進(jìn)進(jìn)情情況況99向所所有有相相關(guān)關(guān)方方溝溝通通措措施施和和改改進(jìn)進(jìn)情情況況其詳詳細(xì)細(xì)程程度度應(yīng)應(yīng)與與環(huán)環(huán)境境相相適適應(yīng)應(yīng)需要要時(shí)時(shí)，，商商定定如如何何進(jìn)進(jìn)行行思考考和和體體會(huì)會(huì)標(biāo)準(zhǔn)準(zhǔn)不不是是羅羅列列文檔檔不不是是擺擺設(shè)設(shè)劣法法勝勝于于無無